TRIM für verschlüsselte SSD

classic Classic list List threaded Threaded
12 messages Options
Reply | Threaded
Open this post in threaded view
|

TRIM für verschlüsselte SSD

Jens Liebmann
Hallo Liste,

meine neuen Laptops sind mit SSD (Intel 660p Series) geordert. Ich
möchte diese, wie schon vorher mit den HDD praktiziert, voll
verschlüsseln.
Allerdings bin ich mir nicht im klaren, wie man in diesem Fall den TRIM
für die SSD nutzen kann, bzw. soll.
Was ich mir zusammen gesucht habe reicht u.a. von

- braucht man nicht, weil das heute die Firmware macht
- kann man nicht machen, wenn ein LVM auf die SSD gelegt wird
- SSD soll man unter Linux nicht verschlüsselt nutzen
- LVM und Linux macht SSD kaputt (als extremste Meinung eines sog.
Praktikers)

usw.

Und natürlich einige Anleitungen, wie man dem LVM selbst TRIM bei
bringt.
Alles aber für andere Distributionen, und meist englisch. Womit ich so
meine Probleme habe.

Ich bitte die erfahrenen User hier um Hinweise, Links oder auch
Erklärungen, wie man als relativer Laie diese Frage praktisch klären
kann.
Im voraus schon vielen Dank.

--
Jens Liebmann

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Sven Hartge-5
Jens Liebmann <[hidden email]> wrote:

> meine neuen Laptops sind mit SSD (Intel 660p Series) geordert. Ich
> möchte diese, wie schon vorher mit den HDD praktiziert, voll
> verschlüsseln.
> Allerdings bin ich mir nicht im klaren, wie man in diesem Fall den TRIM
> für die SSD nutzen kann, bzw. soll.
> Was ich mir zusammen gesucht habe reicht u.a. von

> - braucht man nicht, weil das heute die Firmware macht

Wie soll die Firmware von selbst erkennen, welche Blöcke keine
relevanten Daten mehr beinhalten?

> - kann man nicht machen, wenn ein LVM auf die SSD gelegt wird

Stimmt nicht.

> - SSD soll man unter Linux nicht verschlüsselt nutzen

Blödsinn.

> - LVM und Linux macht SSD kaputt (als extremste Meinung eines sog.
> Praktikers)

Dito.

TRIM + LUKS öffnet ein theoretisches Angriffsszenario, weil ein externer
Betrachter dadurch genau wissen kann, welche Blöcke (verschlüsselte)
Daten beinhalten und welche nicht.

Im Extrem-Paranioa-Modus will man einen Datenträger inklusiver aller
Leer-Sektoren verschlüsseln, so dass von außen nicht sichtbar ist, wo
interessante Dinge sind.

Dies geht aber bei einer SSD gegen die Art und Weise, wie man mit dieser
schonend umgeht: Man teil der Firmware mittels TRIM mit, welche Bereiche
diese recyclen kann.

Ich würde bei aktueller Hardware das Problem dadurch umgehen, in dem ich
die Verschlüsselung der SSD selbst aktiviere und *dann* darüber ein
LVM+LUKS lege, mit aktiviertem TRIM natürlich.

Das dürfte der beste Kompromiss zwischen Lebensdauer und
Angriffssicherheit sein.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Ulf Volmer
In reply to this post by Jens Liebmann
On Sat, Feb 16, 2019 at 06:09:46PM +0100, Jens Liebmann wrote:

> Und natürlich einige Anleitungen, wie man dem LVM selbst TRIM bei
> bringt.
> Alles aber für andere Distributionen, und meist englisch. Womit ich so
> meine Probleme habe.

Ergänzend zu den Hinweisen von Sven.

Das Vorgehen bei Debian unterscheidet sich nicht wesentlich von
anderen Distributionen. Du muß also

- allow-discards in die /etc/crypttab einfügen.
- issue_discards = 1 in die /etc/lvm/lvm.conf einfügen
- die initrd mit 'update-initramfs -u' neu bauen.

Nach einem Reboot solltest Du mit 'fstrim -va' den Trim anstoßen
können. Ob Du dann die Filesysteme per fstab mit der Option discard
einbindest oder den Trim per cron startest ist im wesentlichen
Geschmackssache.

Viele Grüße
Ulf

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Sven Hartge-5
Ulf Volmer <[hidden email]> wrote:

> Nach einem Reboot solltest Du mit 'fstrim -va' den Trim anstoßen
> können. Ob Du dann die Filesysteme per fstab mit der Option discard
> einbindest oder den Trim per cron startest ist im wesentlichen
> Geschmackssache.

Die mount-Option "discard" zeigte in der Vergangenheit und auch aktuell
immer wieder Probleme. Manche SSD-Firmware kam mit der Menge an
TRIM-Kommandos, die dadurch ausgelöst werden können, nicht klar und
verschluckte sich. Andere SSD wurden grottig lahm, weil jedes TRIM einen
sofortigen Cache-Flush auslöste.

Im Allgemeinen ist die aktuelle Sicht auf den Stand der Dinge, es besser
im Batch einmal pro Woche oder pro Tag zu machen.

In Debian Stretch gibt es dafür für systemd unter
/usr/share/doc/util-linux/examples/fstrim.{timer,service}, welche man
einfach nach /etc/systemd/system kopiert und via "systemctl enable
fstrim.timer" und "systemctl start fstrim.timer" aktiviert.

Unter Debian Buster ist dies bereits im System vorbereitet und man muss
den Timer nur noch aktivieren und starten.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Jochen Spieker
Sven Hartge:
>
> In Debian Stretch gibt es dafür für systemd unter
> /usr/share/doc/util-linux/examples/fstrim.{timer,service}, welche man
> einfach nach /etc/systemd/system kopiert und via "systemctl enable
> fstrim.timer" und "systemctl start fstrim.timer" aktiviert.
>
> Unter Debian Buster ist dies bereits im System vorbereitet und man muss
> den Timer nur noch aktivieren und starten.

Ach, danke. Wieder einen Cronjob eingespart.

J.
--
Whenever I hear the word 'art' I reach for my visa card.
[Agree]   [Disagree]
                 <http://archive.slowlydownward.com/NODATA/data_enter2.html>

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Matthias Böttcher-2
In reply to this post by Sven Hartge-5
Am Sa., 16. Feb. 2019 um 22:36 Uhr schrieb Sven Hartge <[hidden email]>:

> TRIM + LUKS öffnet ein theoretisches Angriffsszenario, weil ein externer
> Betrachter dadurch genau wissen kann, welche Blöcke (verschlüsselte)
> Daten beinhalten und welche nicht.

Guten Tag an alle,

ich hatte neulich mit einer SSD-Festplatte zu tun, welche, wenn man
die getrimmten Blöcke/Sektoren gelesen hat, dort nicht 0x00, sondern
Zufallswerte (?) geliefert hat.
Aufgefallen war es mir, weil sich das Image der kompletten, fast
leeren und getrimmten Festplatte kaum komprimieren ließ.

> Im Extrem-Paranioa-Modus will man einen Datenträger inklusiver aller
> Leer-Sektoren verschlüsseln, so dass von außen nicht sichtbar ist, wo
> interessante Dinge sind.
>
> Dies geht aber bei einer SSD gegen die Art und Weise, wie man mit dieser
> schonend umgeht: Man teil der Firmware mittels TRIM mit, welche Bereiche
> diese recyclen kann.
>
> Ich würde bei aktueller Hardware das Problem dadurch umgehen, in dem ich
> die Verschlüsselung der SSD selbst aktiviere und *dann* darüber ein
> LVM+LUKS lege, mit aktiviertem TRIM natürlich.

Wie kann ich die Verschlüsselung einer SSD aktivieren?

Matthias

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Sven Hartge-5
Matthias Böttcher <[hidden email]> wrote:

>> Ich würde bei aktueller Hardware das Problem dadurch umgehen, in dem
>> ich die Verschlüsselung der SSD selbst aktiviere und *dann* darüber
>> ein LVM+LUKS lege, mit aktiviertem TRIM natürlich.

> Wie kann ich die Verschlüsselung einer SSD aktivieren?

https://wiki.archlinux.org/index.php/Self-Encrypting_Drives

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Heiko Schlittermann (HS12-RIPE)
In reply to this post by Ulf Volmer
Ulf Volmer <[hidden email]> (So 17 Feb 2019 01:30:16 CET):
> - allow-discards in die /etc/crypttab einfügen.
lt. crypttab(5) nur „discard“
--
HS

signature.asc (499 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Heiko Schlittermann (HS12-RIPE)
In reply to this post by Matthias Böttcher-2
Matthias Böttcher <[hidden email]> (Mo 18 Feb 2019 09:23:57 CET):
> > Betrachter dadurch genau wissen kann, welche Blöcke (verschlüsselte)
> > Daten beinhalten und welche nicht.
> Guten Tag an alle,
> ich hatte neulich mit einer SSD-Festplatte zu tun, welche, wenn man
> die getrimmten Blöcke/Sektoren gelesen hat, dort nicht 0x00, sondern
> Zufallswerte (?) geliefert hat.

Ich meine, daß das TRIM ja auch nicht bedeutet, daß dort Nullen drin
sind, sondern nur, daß die Platte vor einem erneuten Schreiben dort
nicht erst löschen muss, weil es schon gelöscht ist.

Was „gelöscht“ im konkreten Fall bedeutet, obliegt sicher der Firmware
der Platte.

--
Heiko

signature.asc (499 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Stefan Klein
In reply to this post by Sven Hartge-5
Am Mo., 18. Feb. 2019 um 11:50 Uhr schrieb Sven Hartge <[hidden email]>:
>
> Matthias Böttcher <[hidden email]> wrote:
> > Wie kann ich die Verschlüsselung einer SSD aktivieren?
>
> https://wiki.archlinux.org/index.php/Self-Encrypting_Drives

https://media.ccc.de/v/35c3-9671-self-encrypting_deception

Ich möchte weder dazu raten noch davon abraten,
soll jeder selbst entscheiden wie er Bedrohung und Bequemlichkeit abwägt.

--
Stefan

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Sven Hartge-5
Stefan Klein <[hidden email]> wrote:
> Am Mo., 18. Feb. 2019 um 11:50 Uhr schrieb Sven Hartge <[hidden email]>:
>> Matthias Böttcher <[hidden email]> wrote:

>>> Wie kann ich die Verschlüsselung einer SSD aktivieren?
>>
>> https://wiki.archlinux.org/index.php/Self-Encrypting_Drives

> https://media.ccc.de/v/35c3-9671-self-encrypting_deception

> Ich möchte weder dazu raten noch davon abraten,
> soll jeder selbst entscheiden wie er Bedrohung und Bequemlichkeit abwägt.

Deswegen rate ich ja dazu, eine SED nicht als *alleinige* Absicherung zu
nutzen, sondern nur als Grund-Verschlüsselung und oben dann ein LUKS
drauf zu setzen.

Die Verschlüsselung auf Storage-Ebene soll nur die "TRIM-Lücke"
abmildern.

S!

--
Sigmentation fault. Core dumped.

Reply | Threaded
Open this post in threaded view
|

Re: TRIM für verschlüsselte SSD

Ulf Volmer
In reply to this post by Heiko Schlittermann (HS12-RIPE)
On 18.02.19 12:39, Heiko Schlittermann wrote:
> Ulf Volmer <[hidden email]> (So 17 Feb 2019 01:30:16 CET):
>> - allow-discards in die /etc/crypttab einfügen.
> lt. crypttab(5) nur „discard“

Jepp, korrekt. Danke für die Korrektur.

Viele Grüße
Ulf